Як скласти складний пароль. Як придумати надійний пароль, який легко запам'ятати. Перебір паролів по словнику

Сьогодні кожному користувачеві доводиться працювати з безліччю сервісів в. Для свого профілю в соціальних мережах, на розважальна та професійних сайтах, до електронної поштової скриньки, для доступу до банківського рахунку, Треба придумати такий, який складно буде зламати навіть досвідченому хакеру, адже особистого загрожує часто і матеріальними втратами.

Який пароль вважається ненадійним?

Реєструючись на черговому, треба пам'ятати кілька критеріїв, які обов'язково треба враховувати. Паролі до різних сервісів повинні бути різними!

Не можна придумувати прості паролі. Приклади таких паролів - 123, 12345, 321, 654321, 123456789, qwerty, password, (ваша дата народження), (ваше ім'я / прізвище / по батькові), (ім'я улюбленого котика) тощо.

Пароль не повинен бути коротким. Бажано придумати пароль довжиною не менше 8-10 знаків.

Два дуже простих способи придумати надійний пароль

Перший спосіб. наберіть в текстовому редакторілітери (великі і малі), цифри і спеціальні символи (наприклад, &,%,),> і т.д.) в довільному порядку.

Другий спосіб. Згадайте довге російське слово і запишіть його в англійській розкладці (наприклад, довгошиї - lkbyyjittt), після чого деякі букви замініть на заголовні, а між ними вставте декілька цифр і спецсимволов. Має вийти щось на зразок - [Email protected]+ TtT.

Корисна порада: такий пароль складно запам'ятати, тому запишіть його на листок і сховайте в надійне місце. Не зберігайте список паролів тільки на комп'ютері або смартфоні, адже ви втратите доступ до сервісів, якщо зламаються ваші гаджети.

пароль- єдине, що по-справжньому захищає всі наші важливі дані від злому. Існує маса способів зламувати користувальницькі акаунти і отримувати доступ до конфіденційної, особистої, ділової, фінансової інформації. Це особливо актуально для власників компаній, які стурбовані питанням безпеки своїх даних. Зловмисникам часто досить зламати пошту одного співробітника, щоб отримати доступ до важливої ​​ділової інформації цілої компанії. Ось чому так важливо займатися освітою співробітників щодо безпеки в Мережі, зокрема, пояснювати, які бувають паролі і як правильно створити пароль. І це не менш важливо для окремих користувачів, які використовують інтернет для спілкування і здійснення платіжних операцій з введенням даних своїх банківських карток.

Як створити пароль і чому легкі паролі неефективні?

Більшість користувачів не задаються питанням, як придумати пароль. Якщо у вас легкий пароль, будьте впевнені, рано чи пізно вас зламають. Що таке легкий пароль і чому він так сильно схильний до злому? Як правило, це комбінація з будь-якого слова і цифри. Найчастіше, користувачі вибирають в якості пароля своє прізвище і дату народження. Наприклад, Ivanov1976. Якщо вас задумають зламати, швидше за все, саме цю комбінацію введуть першої. Неефективними виявляються і будь-які словникові слова, оскільки перебір паролів по словнику - ще одна поширена методика зловмисників. Вже через кілька годин пароль буде зламаний.

Який придумати пароль?По-перше, довгий. Якщо ваш пароль містить менше восьми символів (латиниця і цифри), це означає, що кількість можливих комбінацій з них становить 78 364 164 096 і методом перебору комбінацій (за допомогою спеціальної програми) такий пароль буде зламаний максимум за 9 днів (якщо швидкість перебору складає 100000 паролів в секунду). Додайте ще один символ - і у зловмисника піде на це вже 11 місяців. Таким чином надійні паролі містять більше 8 символів, в яких поєднуються великі та маленькі літери регістрів, цифри і спеціальні символи.

Сьогодні вже практично всі обізнані про необхідність мати складні паролі для кожного свого аккаунта, проте більшість все ж продовжують нехтувати елементарними принципами безпеки в Мережі. навіть самий складний парольможе бути вкрадений, якщо втрачати пильність і вводити свої дані на фішингових сайтах (простіше кажучи, сайти-підробки), зберігати паролі в браузері (можуть бути вкрадені трояном) або завантажувати програми сумнівного походження (це може бути кейлогерам, який буде красти всі введені користувачем дані). Простіше кажучи, жертвою інтернет-шахраїв може стати кожен. Однак обізнаний - значить, озброєний. Якщо ви будете уважні і обережні, а також будете знати, як придумати складний пароль, ви зможете захистити себе від зловмисників.

Як створити складний пароль?

Отже, ми вже з'ясували, що складні паролі містять більше 8 символів. Це повинні бути літери верхнього і нижнього регістра (тобто маленькі і великі), цифри, а також спеціальні символи.

Щоб відповісти на питання, як скласти пароль, найпростіше запропонувати скористатися онлайн-генератором, який ви знайдете на нашому сайті. Він створить для вас кілька варіантів комбінацій з латинських букв, цифр і символів. Програма створює паролі в абсолютно довільному порядку, і ви можете бути впевнені, що ваш пароль буде унікальним. Але якщо ви хочете додатково уникализировать його, можете замінити будь-який із символів яким завгодно. Звичайно, запам'ятати такі комбінації досить складно, і найчастіше єдиний варіант - записати такий пароль в блокноті, який буде доступний тільки вам.

Надійні і складні паролі: створення

Однак придумати складний пароль, який легко запам'ятається, можна і самостійно. Для цього існує кілька стандартних сценаріїв

1. Виберіть два слова російською мовою - нехай це буде іменник і дієслово. Наприклад, " завіса»І« вишивати», Додайте до цього рік народження улюбленого письменника, художника, музиканта. Нехай буде 1924 . Додайте будь-який інший символ - наприклад,%. Тепер запишемо все разом « Гардіна19% Вишівать24»(В будь-якій послідовності). І, нарешті, записуємо це латиницею. вийде Uahlbyf19% Dsibdfnm24. На підбір такого пароля методом грубої сили у зловмисника піде вічність.
2. Другий спосіб, як зробити складний пароль, - візьміть рядок з вірша або скоромовку. Візьміть по дві букви з кожного слова і запишіть латиницею, використовуючи великі букви для кожної першої літери. Це ще один складний пароль.
3. Виберіть будь-яке складне слово, яке використовується в мові досить рідко. Чим більше букв, тим краще. Запишіть його латиницею, додайте знаменну дату (краще запам'ятається, якщо це слово якось пов'язано з цією датою), і розбийте цією датою слово на дві частини.

Таких сценаріїв може бути нескінченно багато, і, можливо, трохи подумавши ви зможете придумати свій власний. Якщо ви все одно не знаєте, який пароль можна придумати, скористайтеся нашим. Головне - не забувайте, що повідомляти свої паролі нікому не можна, не зберігайте їх в браузері, в блокнотах на комп'ютері.

Паролі всюди: в соціальних мережах, платіжних системах, на комп'ютері і телефоні. Тримати в голові стільки інформації нереально, тому багато користувачів йдуть по шляху найменшого опору - придумують один ключ, який легко запам'ятати, а потім вводять його на всіх майданчиках, на яких реєструються.

Такий підхід до безпеки може закінчитися плачевно. Якщо код доступу для ВКонтакте або Однокласників можна втратити без серйозних фінансових наслідків, а тому і робити його складним необов'язково, то придумати пароль для реєстрації в платіжній системіабо створення Apple ID потрібно такий, щоб ніхто, крім власника, не отримав доступ до даних.

Правила створення паролів

Практично на всіх сайтах при реєстрації є список вимог до паролів. Однак зазвичай вимоги ці мінімальні: не менше 8 символів, не може складатися тільки з цифр або букв і т.д. Для створення реально складного пароля необхідно пам'ятати ще про декілька обмеженнях.

• Логін і пароль не повинні бути однаковими.
• Не рекомендується використовувати будь-яку особисту інформацію, особливо якщо її можна дізнатися з соціальних мереж або інших джерел.
• Не рекомендується використовувати слова.

Щоб зрозуміти логіку цих заборон, досить подивитися, як зламуються паролі. Наприклад, ключ з 5 цифр - це всього лише 100 тисяч комбінацій. Програма для злому шляхом простого перебору всіх варіантів знайде підходящу комбінацію хвилини за 2, а то й менше. Чи не згодиться для коду доступу і рідкісне слово. Зломщик може проаналізувати різні словники на різних мовах і знайти відповідність. Питання лише в тому, скільки часу цієї займе - кілька хвилин або пару годин.

Програма Advanced PDF Password Recovery для злому паролів, встановлених на PDF документ. Використовує брутфорс, дозволяє тонко налаштувати підбір, зазначивши використовувані в паролі символи.

Поєднання рідкісного слова і цифр теж не підійде. Технологія bruteforce дозволяє шукати поєднання цифр і слів, так що при необхідності такої ключ впаде. Чи протримається він, звичайно, трохи довше, ніж 123456789, але якщо ви через злом понесете втрати, то ця різниця в часі навряд чи здасться суттєвою. Щоб розуміти, який пароль надійний, а який - не дуже, подивимося конкретні приклади. Приблизний час злому розраховане за допомогою сервісів перевірки паролів, про які розказано нижче.

• Дата народження (05041992) - буде зламаний за 3 мілісекунди.
• Ім'я з маленькою або великої літери (Segey, sergey) - протримається 300-500 мілісекунд, тобто менше, ніж півсекунди.
• Комбінації з цифр і малих літер (1k2k3d4a9v) - приблизно 1 день.
• На злом пароля виду HDA5-MHJDa піде близько 6 років.
• Комбінація AhRn & Mkbl363NYp буде розшифрована через 16 мільйонів років.

Ніякі 16 мільйонів років і навіть 6 років зломщик працювати не буде - це значення лише демонструє, що зламати пароль в прийнятний термін неможливо.

генерація паролів

Одна справа - знати правила, інша справа - їм слідувати. Більшість користувачів в курсі, що для реєстрації можна використовувати код доступу, що складається з дати народження або імені, але мало кого це зупиняє. Проблеми дві:

• Важко придумати складний пароль.
• Навіть якщо ви створите пароль, який містить випадковий набір символів, важко (іноді просто неможливо) його запам'ятати.

З першою проблемою допоможе справитися онлайн генератор паролів. В інтернеті можна знайти велику кількість сервісів, що пропонують швидко створити складний пароль з букв, цифр, спеціальних символів.

Працюють онлайн генератори за одним принципом: ви вказуєте, які символи потрібно використовувати, вибираєте необхідну кількість знаків і натискаєте «Згенерувати». Відрізняються сервіси лише в приватних моментах.

Наприклад, на Pasw.ru можна згенерувати відразу кілька десятків паролів (до 99 комбінацій). PassGen дозволяє встановити опцію автоматичного виключення повторюваних символів з ключа безпеки, тобто всі знаки в ньому будуть в однині.

зберігання ключів

Якщо згенерувати пароль можна онлайн, то зберігати ключі потрібно на комп'ютері. Запис пароля на папірці, в окремому документі на комп'ютері, на стікері, приклеєному на екран - шлях до несанкціонованого доступу до даних. Так що тут з'являється друга проблема: як запам'ятати створений ключ.

На пам'ять сподіватися не варто, а ось на менеджера паролів можна покластися. Багато користувачів вибирають KeePass. Ця програма поширюється безкоштовно і працює на Windows 7, Windows 10 і інших сучасних версіяхОС від Microsoft. Крім того, в KeePass є вбудований генератор паролів, так що вам не доведеться кожного разу шукати онлайн-сервіси.

Мінус менеджера пароля тільки в тому, що для нього теж потрібен код доступу, який називається майстер-пароль. Але запам'ятати один майстер пароль набагато простіше, ніж тримати в умі кілька десятків складних комбінацій. До того ж при його створенні можна скористатися хитрістю - взяти за основу вірші, лічилки або будь-які інші пам'ятні рядки і перетворити їх в поєднання букв, цифр і знаків.

Наприклад, можна взяти чотиривірш, виділити перші літери і розділові знаки, а потім написати їх на латинській розкладці. Деякі літери можна замінити цифрами - «з» на «3», «о» на «0», «ч» на «4». В результаті такої маніпуляції з чотирьох рядків дитячого вірша, який ніколи не вилетить з голови, вийде пароль U0d? D3ep.Gzc3hek, на зламання якого піде 3 трильйони років.

Перевірка складності

На багатьох сайтах при реєстрації користувачеві показують, чи гарний у нього пароль. Переконатися в тому, що згенерований код складний, і зламати його швидко не вийде, можна і самостійно, використовуючи сервіс? В поле «Enter Password» вставте згенерований пароль. У відповідь ви отримаєте приблизний час, який буде витрачено на злом ключа на звичайному комп'ютері. Якщо кілька мільйонів або хоча б тисяч років, то код вийшов однозначно надійний.

Можна використовувати і інші сервіси для перевірки надійності: наприклад, від Kaspersky Lab. Він теж показує час, необхідний для злому пароля, заодно повідомляючи, що можна зробити за вказаний проміжок.

Ще один цікавий спосіб перевірки - сервіс «Стійкість пароля» на сайті 2ip.ru. Тут результат видається категоричний: ключ або надійний, або ненадійний.

Потрібно розуміти, що час злому, яке показують ці сервіси, вельми умовно і розраховане на випадок, якщо зломщик використовує звичайний комп'ютер. Суперкомп'ютер з фантастичною продуктивністю впорається із завданням швидше, як і спеціальні машини для злому паролів, які можуть тестувати до 90 млрд ключів в секунду. Але навряд чи людям, які володіють подібною технікою, знадобиться ваш пароль від електронної пошти, скайпу або Wi-Fi.

Всім відомо, що кращий пароль виглядає приблизно так: vAeJZ! Q3p $ Kdkz / CRHzj0v7. Однак запам'ятати його для звичайної людини практично неможливо. сайт вибрав кілька порад, які допоможуть вибрати надійний парольі не зійти з розуму.

базові правила

У паролі має бути не менше восьми символів (а краще - від 12 до 20).

У паролі повинні бути всі відразу: і букви, і цифри, і спецсимволи.

Не можна використовувати один пароль у всіх сервісах.

Чи не записуйте паролі на листках.

Якщо складно все тримати в голові - скористайтеся менеджером паролів (але пароль від нього вам доведеться запам'ятати).

Зрозумілий пароль - краще, ніж абракадабра

Головне правило при виборі пароля: не використовувати слова цілком. При підборі ключів хакери насамперед перебирають вміст словників за допомогою спеціальних програм. Тому пароль «I love football» протримається пару секунд, наступного впаде ваша дата народження, k0роvA теж не викличе складнощів.

Цікавий спосіб вибору комбінації символів запропонував фахівець з безпеки Брюс Шеньє: придумайте довге речення і «стисніть» його до абревіатури.

«Якщо ви хочете, щоб ваш пароль було важко відгадати, виберіть те, перед чим зломщики здадуться, -пише він. - Моя порада: придумайте пропозицію і перетворите його в пароль. Щось на зразок "This little piggy went to market - tlpWENT2m". Цих дев'яти символів не буде ні в одному словнику. Звичайно, не слід використовувати цей пароль, про нього я вже написав ».

Ось ще кілька прикладів від дослідника - підійде практично будь-яка фраза, яку ви в змозі запам'ятати будь-якою мовою - пісенька, вірш, цитата з фільму або дитяча жарт.

Long time ago in a galaxy not far away at all - [Email protected]~ Faaa!

Until this very moment, these passwords were still secure - uTVM, TPw55: utvm, tpwstillsecure

Коли мені було сім років, моя сестра принесла кролика - Kmb7letmsestrapk ...

Ой, цей диван що, смердить? - Oi, etdich, vo?

Пароль з «гральних кісток»

Один з найбільш надійних способів отримати хороший пароль - техніка Diceware ( «гральна кістка»). Для цього вам знадобиться спеціальний список слів (російською або англійською) і гральні кістки (підійдуть і віртуальні).

Список слів Diceware містить 7776 слів і виглядає приблизно так:

51515 плебс

51516 пліва

51522 плем'я

51524 плескіт

51525 батіг

Щоб отримати пароль, вам знадобиться 25 або 30 кидків гральної кістки, все результати потрібно записати групами по п'ять чисел. Наприклад, так: 61253, 54611, 32513, 21341, 64325. Кожна група чисел - номер одного з слів в списку.

В результаті ви отримаєте комбінацію на кшталт «анатом вусань матрац кіраса плов» - це і буде ваш новий пароль. Погодьтеся, запам'ятати її буде набагато простіше, ніж vAeJZ! Q3p $ Kdkz / CRHzj0v7.

Ступінь захисту такого пароля значно вище, ніж у короткій комбінації символів. Комп'ютер, який зламує 8-символьний пароль за 6 годин, буде працювати над паролем з 5 слів Diceware англійською близько 7300 годин, або 10 місяців.

Однією з найбільш істотних проблем, пов'язаних із забезпеченням безпеки в організації є паролі до облікових записів важливих користувачів. Навіть якщо ви ретельно сплануєте і налаштуєте параметри безпеки груповий політики, Включаючи настройки брандмауера в режимі підвищеної безпеки, розгорнете антивірусне програмне забезпеченняі будете підтримувати в оновленому стані систему і антивірусне ПЗ, налаштуєте політики IPSec, розгорнете сервера захисту доступу до мережі, а у облікових записів ваших користувачів будуть недостатньо складні паролі, безпеку всієї вашої компанії може бути під загрозою.

Зрозуміло, ви можете, і навіть повинні, за допомогою групової політики задати обмеження по створенню складних паролів, встановити інтервал для блокування облікового записув разі неправильного введення пароля, а також налаштувати політики аудиту для аналізу невдалих спроб входу в систему. Але навіть паролі, які операційна системабуде вважати складними (тобто довжина пароля буде перевищувати певну кількість символів, пароль буде містити символи верхнього, нижнього регістра, а також цифри), можуть насправді виявитися уразливими і простими для зловмисників, які будуть їх зламувати. Саме цей етап забезпечення безпеки вашої компанії може виявитися для вас найбільш складним, так як тут ваша участь грає лише посередню роль, а будь-який халатне ставлення з боку ваших користувачів може летально позначитися на інфраструктурі всієї компанії. Іншими словами, в цьому випадку вам потрібно постаратися змусити ваших же користувачів створювати безпечні паролі, запам'ятовувати їх, періодично ці паролі міняти, а також тримати ці паролі при собі, що, по суті, може виявитися набагато складніше, ніж спланувати інфраструктуру організації, а також розгорнути і підтримувати в робочому стані сервера з відповідними серверними ролями.

У цій статті я трохи розповім про те з яких причин які паролі можна створювати, а також як саме потрібно створювати паролі для своїх облікових записів. Розглянемо все по прядку.

Методи злому паролів

До одного з найбільш поширених методів атаки на будь-яку інфраструктуру можна віднести злом паролів користувачів, які проходять перевірку автентичності для того щоб можна було отримати доступ до внутрішньої мережі організації. Відповідно, якщо зловмисник отримає доступ до облікового запису користувача, у нього буде можливість достукатися до будь-яких внутрішніх документів компанії та до іншої захищеної інформації. Крім облікових записів користувачів для доступу до внутрішньої мережі організації, також часто зловмисники намагаються зламувати акаунти електронної пошти, соціальних мереж, блогів та іншого. Тому користувачам слід пояснити, що не можна для всіх своїх облікових записів використовувати однаковий пароль, а вже тим більше простий пароль.

В принципі, існує багато методів злому паролів, але в цій статті будуть коротко розглянуті лише основні методи, які найбільш поширені в наш час. До цих методів можна віднести логічне вгадування, перебір паролів по словнику, метод грубої сили (або повний перебір), а також найсерйозніший метод - використання людського фактора.

логічне вгадування

Цей метод є найпростішим, і починають зазвичай саме з логічного вгадування пароля. Наприклад, зловмисник може спробувати вгадати пароль ваших користувачів, знаючи ім'я, прізвище вашого користувача і, скажімо, його рік народження. Наприклад, якщо користувач створить пароль типу «Прізвище + рік народження» або логін, вказаний в зворотному порядку, можна особливо не хвилюватися, такий пароль буде зламаний через кілька хвилин.

Перебір паролів по словнику

Так як багато користувачів як паролі люблять вказувати до будь-якої свого облікового запису одне слово, будь то назва вулкана в Ісландії або ім'я улюбленого кролика і, максимум, додавати до такого паролю одну цифру, зловмисники можуть зламати такий пароль, використовуючи заздалегідь відібрані паролі , які завантажуються зі спеціальних словників. У такі словники зазвичай включаються слова з різних мов, які можуть використовувати недосвідчені або байдужі до своєї безпеки користувачі. Підбір пароля, використовуючи даний метод, Зазвичай не займає багато часу і зловмисник зможе отримати доступ до даних ваших користувачів буквально через кілька годин. А так як подібних словників в просторах Інтернету дуже багато, слід відразу пояснювати користувачам, що їм не слід використовувати такі паролі, так як постраждати може не тільки їх обліковий запис в соціальній мережі, а й вся інфраструктура підприємства.

Ще одним методом, пов'язаним з перебором по словнику, називається перебір по таблиці хешировать паролів. Цей метод використовується тоді, коли зловмисник зміг визначити хеші паролів і йому залишається лише знайти в базі даних пароль, який буде повністю відповідати даним хешу.

Метод грубої сили

Метод грубої сили (brute force) або повний (прямий) перебір відрізняється від попереднього методу тим, що при підборі пароля використовується не певний словник, згідно з яким можна підібрати простий пароль, а велика кількість будь-яких можливих комбінацій. У цьому випадку, як ви розумієте, все залежить лише від складності пароля і кількості символів. Думаю, багато хто з вас бачили таку таблицю, виходячи з якої, можна приблизно оцінити складність створюваних паролів, якщо врахувати що в паролі будуть тільки лише літери одного регістра з цифрами і швидкість перебору складає 100000 паролів за одну секунду:

Відповідно, більш-менш стійким паролем можна вважати пароль, довжина якого буде складатися не менше ніж з восьми символів. Так як під час написання цієї статті, основним завданням стояло розгляд методів створення стійких паролів, в ній не будуть розглядатися кошти реалізації перебору паролів методом грубої сили.

Використання людського фактора

Незважаючи на те, що при використанні людського фактора не застосовується яка-небудь технологія, цей метод в більшості випадків вважається найдієвішим і іноді навіть найшвидшим, так як в цьому випадку зловмисники отримують паролі незаконним шляхом від самих користувачів, причому, останні про це можуть навіть не підозрювати. Перш за все, при використанні цього методу отримання призначених для користувача паролів зловмисник зазвичай дізнається імена співробітників організації, які він може, як знати спочатку, так і знайти на тому ж, скажімо, веб-сайті компанії, а вже після цього, згідно продуманому заздалегідь сценарієм зловмисник може отримати від користувачів практично будь-які дані. Методів отримання призначених для користувача паролів, використовуючи людський фактор, дуже багато. Коротенько розглянемо основні способи:

· фішинг. Є досить поширеним методом отримання від користувачів необхідною інформацією. Сам термін фішинг (phishing) походить від англійського слова fishing, що перекладається як рибна ловля і являє собою вид шахрайства, основним завданням якого є отримання доступу до конфіденційних даних користувачів. Сама атака відбувається наступним чином: користувачеві на поштову скриньку приходить лист, скажімо, від банку, де користувачеві пропонують, перейшовши за наданою посиланням, з метою забезпечення безпеки змінити на сайті свій пароль. Насправді, таке посилання веде на сайт хакера зі сторінкою, яка дуже схожа на сторінку банку і при спробі зміни свого пароля, пароль буде відправлений зловмисникові;

· Зараження комп'ютерів засобами троянських коней. Як ви знаєте, троянським конем називається шкідлива програма, Яка поширюється зловмисниками, за допомогою якої він може отримати доступ даними, в залежності від того, яку він поставив перед собою завдання. У свою чергу, призначені для користувача паролі не є винятками;

· Кви про кво. Даний метод пішов від латинського виразу qui pro quo (одне замість іншого), що також означає непорозуміння, що виникло в результаті того, що одна особа, річ або поняття прийнято за інше. У випадку з розкраданням паролів, цей спосіб має на увазі дзвінок зловмисників в компанію. Зловмисник може представитися технічним фахівцем і дізнатися про вразливості, які можуть бути в організації і скористатися ними. Або ж просто дізнатися пароль користувача по телефону;

· Претекстінг. Цей спосіб найпростіший. За великим рахунком, використовуючи даний метод розкрадання пароля, зловмисник, може бути навіть, в якійсь мірі, далекий від хікінга, так як в даному випадку, виконуються дії, відпрацьовані за заздалегідь складеним претексту або, простіше кажучи, сценарієм. Він може почати спілкуватися з користувачем на якомусь веб-сайті, засобами листування по електронній пошті, UIM-мессенджерам і т.д. З цілком зрозумілих причин, даний метод може зайняти значно більше часу, ніж всі зазначені раніше, але, тим не менш, він теж затребуваний.

Найпростіший спосіб розкрадання пароля зображений на наступній ілюстрації:

Створення складних паролів

Швидше за все, ви все бачили наступну картинку.

Тут досить-таки в простій і жартівливій формі намальовано, які паролі можна створювати і як з такими паролями будуть взаємодіяти ваші користувачі. Якщо чесно, то з методом, який вказаний на зображенні можна не погодитися, так як другий пароль може бути швидше зламаний, ніж перший, хоч на це і піде у зловмисника якийсь час.

Перш за все, як я вже говорив на початку статті, в будь-якому випадку вам потрібно налаштовувати обмеження по створенню складних паролів за допомогою групової політики, причому, прив'язувати такі політики слід не для якогось конкретного підрозділу, а для всього домену. Зрозуміло, налаштувавши політики безпеки, ви уникнете створення паролів типу «123456» або «qwerty», які так люблять вказувати користувачі, призначені для користувача паролі можуть бути однаково уразливими для хакерів.

Наприклад, якщо у вас у відділі продажів є користувач Володимир, який народився 9-го числа якогось місяця, його паролем цілком може бути щось на зразок «Vladimir9». Як бачите, довжина такого пароля дев'ять символів, що, швидше за все, буде перевищувати встановлену засобами групової політики довжину пароля. Крім цього, в даному паролі є букви з різного регістра (ну негоже адже, своє ім'я вказувати з маленької літери) і в даному паролі є цифри (в зазначеному випадку, день народження користувача). Відповідно, пароль буде задовольняти вимогам, зазначеним за допомогою групової політики, але зламати його можна буквально в лічені секунди.

Вам потрібно постаратися переконати своїх користувачів створювати для будь-яких своїх облікових записів складні паролі, створювати різні паролідля кожного облікового запису, а також зберігати свої паролі у себе в пам'яті. Останні два моменти є найбільш складними, так як більшість користувачів звикло мати один пароль для свого облікового запису в Active Directory, а також, добре, якщо так, мати один пароль на поштові ящики, соціальні мережі, Трекреи, форуми і так далі. Якщо ви все таки змусили своїх користувачів створити складний пароль, зверніть увагу на те, що багато хто любить записувати його на папірці і клеїти до свого монітору, на клавіатуру і т.п., що є неприпустимим, так як це вже паролем назвати складно.

Як створити сам пароль

Бажано, щоб пароль користувача був не менше ніж з 8 символів, причому, щоб в паролі в довільному порядку були написані літери латиницею в різних регістрах, пароль містив цифри і, щоб там ще були спеціальні символи. Якщо пароль створюється для облікового запису, яка буде виконувати вхід на сервер, то бажано створювати паролі, довжина яких перевищуватиме 12 символів. У більшості випадків, користувачі рідко заморочуються придумуванням таких паролів. Тому, вам потрібно буде або замість них придумувати паролі, що вкрай незручно, тому що якщо у вас 20 користувачів, це займе якийсь час, але ви з цим справитеся, але якщо у вас більше 100 користувачів, то на таке безглузде заняття піде цілий день. А їх ще треба періодично міняти, тому що жоден пароль не може бути досконалим.

Тому ви можете або направляти користувачів на сайти з генераторами паролів, наприклад, на сайт http://genpas.narod.ru або на сайти з подібним функціоналом. Таких сайтів насправді дуже багато. Також ви можете на своєму внутрішньому веб-сервері написати сторінку, яка буде надавати такий же функціонал, що теж навряд чи займе багато часу, навіть якщо у вас немає навичок в веб-програмуванні. А про наявність такої сторінки на сайті ви можете повідомити користувачів, скажімо, за допомогою офіційної розсилки. Відповідно, вашим користувачам не потрібно буде витрачати час на те, щоб придумати складний пароль, а залишиться лише його запам'ятати.

Також ви можете розповісти своїм користувачам про простих сценаріях, що дозволяють створити складний, але легко запам'ятовується. Різних цікавих сценаріїв можна придумати сотні. Розглянемо кілька таких сценаріїв.

1. Візьміть два російських слова - дієслово і іменник. Наприклад, слова «готувати» та «свічник». Додайте довільне число, яке буде розділене на дві частини, наприклад, рік народження улюбленого письменника, скажімо, 1966, а також візьміть будь-який спеціальний символ, Нехай буде, наприклад, знак питання. Тепер запишіть все, що знайшли раніше в наступному порядку: перше слово з великої літери, перші дві цифри з року народження, знак питання, друге слово з великої літери і останні дві цифри. Має вийти щось в цьому роді: «Готовіть19? Подсвечнік66». тепер наберемо отриманий пароль на англійській розкладці. В результаті, у вашого користувача буде наступний пароль: « Ujnjdbnm19? Gjlcdtxybr66». В такому паролі вийшло 23 знака, причому, підібрати його методом перебору по словнику нереально, а використовуючи метод грубої сили у зловмисника піде, м'яко кажучи, не один місяць.

2. Візьміть будь-яку скоромовку, наприклад, «В надрах тундри видри в гетрах тирять в відра ядра кедрів» і візьміть дату народження двоюрідної тітки користувача, скажімо, 29 жовтня 1957. Тепер запишіть кожну першу букву кожного слова англійською мовою, причому, запишіть кожну другу букву в верхньому регістрі і між деякими словами проставляйте по одній цифрі, а в кінці пароля поставте знак оклику. Має вийти наступне: « vN2tV9vG10tV19vY57k!». Знову ж, такий пароль підібрати буде дуже складно.

3. Візьміть будь-який рядок найулюбленішого вірша, наприклад, «Недарма пам'ятає вся Росія про день Бородіна!» і запишіть по дві букви з кожного слова на англійській розкладці, причому, для кожного нового слова вкажіть букву в верхньому регістрі. В кінці можете поставити день свого народження. Наприклад, в даному випадку повинно вийти наступне: « YtGjDcHjGhLt ». отриманий ще один складний пароль.